51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3622|回复: 1
打印 上一主题 下一主题

[讨论] 关于用appscan工具扫描系统时,可以向数据库写入数据的问题

[复制链接]
  • TA的每日心情
    无聊
    2022-12-8 17:51
  • 签到天数: 256 天

    连续签到: 1 天

    [LV.8]测试军长

    跳转到指定楼层
    1#
    发表于 2013-12-12 00:19:18 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    最近测试项目,用appscan扫描应用时,会向数据库注入数据,例如:一些不符合文本框的字符类型、script代码等;但开发反馈:只要工具伪装了form表单的post操作的话,没有置空到必填项,有数据提交到数据库是正常的。
    个人觉得,这种情况应该是需要解决的,而且在扫描过程中,安全测试的配置已设置为“非侵入式”了,不应再有数据注入到数据库。
    各位大侠,怎么看这个问题呢?这种情况是否是属于SQL注入?欢迎大家来交流交流~~~
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-4-18 19:23
  • 签到天数: 189 天

    连续签到: 1 天

    [LV.7]测试师长

    2#
    发表于 2014-9-23 12:26:11 | 只看该作者
    我上次使用的是“非侵入式”  结果还是存在部分表的数据被删除,排查了好久,才确定是因为appscan扫描删除的,按我的理解,“非侵入式”不应该对数据库有删除操作才对。
    还有一次更严重,直接把所有的表字段里面都插入了一段乱码,整个数据库都损坏了。
    我后续的解决办法是,所有的扫描单独部署环境,不适用正式环境。

    我QQ149132858    一起学习讨论下。
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-8 09:18 , Processed in 0.067752 second(s), 26 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表